伴隨著逐漸實(shí)現(xiàn)數(shù)字化轉(zhuǎn)型的腳步，企業(yè)為了保護(hù)數(shù)據(jù)和應(yīng)用服務(wù)的安全，開始大量采用加密技術(shù)。例如，使用 HTTPS 服務(wù)代替?zhèn)鹘y(tǒng)的 HTTP。

　　數(shù)據(jù)顯示：到 2016 年，超過 40％ 的網(wǎng)站流量實(shí)現(xiàn)了加密，同比 2015 年增長 90％ 以上。Gartner 預(yù)測，到 2019 年，80％ 的 Web 流量將實(shí)現(xiàn)加密！

　　眾所周知，網(wǎng)絡(luò)可見性是實(shí)現(xiàn)網(wǎng)絡(luò)安全和業(yè)務(wù)保障的基礎(chǔ)。但現(xiàn)在，隨著加密技術(shù)的使用，可見性變得越來越難于實(shí)現(xiàn)。企業(yè)在依賴這一技術(shù)獲得隱私性與安全性的同時(shí)，不法分子也有了可乘之機(jī)！

　　加密是把雙刃劍！黑客們同樣可以利用加密技術(shù)將其推送的惡意軟件、欲傳達(dá)的有害命令都藏匿于加密流量當(dāng)中，規(guī)避檢測，確保惡意活動(dòng)能夠正常實(shí)施。

　　這就需要 IT 部門去評估數(shù)字業(yè)務(wù)是否通過加密保護(hù)、何種強(qiáng)度的保護(hù)；同時(shí)也需要評估流量是否存在惡意。目前來看，針對加密流量進(jìn)行檢測的解決方案主要是利用中間人的技術(shù)對流量解密，分析其中的行為和內(nèi)容，再次加密發(fā)送。但這樣的解決方案存在以下局限：

　　加密技術(shù)旨在解決數(shù)據(jù)的隱私性，利用中間人解密則破壞了了這個(gè)初衷，同時(shí)在通道完整性等方面也存在風(fēng)險(xiǎn)；

　　如果加密流量持續(xù)增加，解密會(huì)消耗大量資源，同時(shí)也會(huì)造成現(xiàn)有網(wǎng)絡(luò)性能的下降。

　　說起如何識別加密網(wǎng)絡(luò)流量中的威脅，還得先請出今天的主講 “思享家”——思科大中華區(qū)網(wǎng)絡(luò)安全業(yè)務(wù)技術(shù)總監(jiān)徐洪濤。

　　大家好，在 “思享家” 本期微話題 “思科全數(shù)字化網(wǎng)絡(luò)架構(gòu)（DNA）——自我學(xué)習(xí)、自我調(diào)整、自我保護(hù)的全智慧的網(wǎng)絡(luò)” 中，我將與大家一同探討思科推出的 ETA 技術(shù)（Encrypted Traffic Analytics，加密流量分析功能），大家在學(xué)習(xí)過程中遇到的問題或思考，可以直接在文章底部留言區(qū)留言，我都會(huì)一一作出答復(fù)。

　　思科一直致力于加密網(wǎng)絡(luò)流量中威脅識別的研究，安全研究人員研究了數(shù)百萬不同流量上惡意流量和良性流量使用 TLS、DNS 和 HTTP 方面的差異，提煉出惡意軟件最明顯的一系列流量特性，并最終形成了思科針對惡意軟件流量傳輸模型的 Security Map。

　　在 DNA 的設(shè)計(jì)當(dāng)中，思科推出加密流量分析功能，通過收集來自全新 Catalyst? 9000 交換機(jī)和 Cisco 4000 系列集成多業(yè)務(wù)路由器的增強(qiáng)型  NetFlow 信息，再與思科 Stealthwatch 的高級安全分析能力進(jìn)行組合，ETA 能夠幫助 IT 人員在無需解密的情況下找出加密流量中的惡意威脅。

　　ETA 技術(shù)充分利用了網(wǎng)絡(luò)基礎(chǔ)架構(gòu)（網(wǎng)絡(luò)交換機(jī)）的能力，結(jié)合機(jī)器學(xué)習(xí)，在加密數(shù)據(jù)中提取多個(gè)特征，關(guān)聯(lián)思科安全大數(shù)據(jù)中的 Security Map，尋找惡意軟件的痕跡。提取內(nèi)容包括：